Il Garante privacy, con la Newsletter n. 543 del 20 febbraio 2026, ha reso noto che è vietato utilizzare il riconoscimento facciale per i partecipanti ai corsi on line di abilitazione all’insegnamento da parte dell’istituto universitario.

In particolare, un ateneo (eCampus per la precisione), utilizzava un sistema di riconoscimento facciale per verificare l’identità e la presenza dei partecipanti alle lezioni. Dalle verifiche l’Autorità ha rilevato la mancanza di una base giuridica idonea a giustificare l’uso di sistemi biometrici, per i quali sono previste garanzie rafforzate dalla disciplina di protezione dei dati, vista anche la disponibilità di strumenti alternativi e meno invasivi per la verifica della presenza ai corsi. È emerso, inoltre, che l’Ateneo non aveva svolto una valutazione di impatto sulla protezione dei dati prima dell’attivazione del sistema di riconoscimento facciale.

Le violazioni hanno interessato un numero molto elevato di partecipanti, oltre 450 corsisti per ogni lezione.

Nel corso dell’istruttoria, il sistema ha continuato ad essere utilizzato solo parzialmente con alcuni correttivi, comunque non ritenuti sufficienti a superare le criticità rilevate, fino alla sua disattivazione definitiva.

Quindi, il Garante privacy, tenuto conto della collaborazione prestata dall’Università e dell’interruzione volontaria del trattamento, ha sanzionato per 50mila euro l’Università eCampus per aver trattato in modo illecito i dati biometrici.